Europäische NIS-2-Richtlinie

Die Corona-Pandemie und die erhebliche militärische Bedrohungslage in Europa haben die Bedeutung kritischer Infrastrukturen und die Dringlichkeit einheitlicher Cybersicherheitsmaßnahmen unterstrichen. Mit der NIS-2-Richtlinie zielt die Europäische Union darauf ab, das Sicherheitsniveau in den Mitgliedstaaten weiter zu harmonisieren und die digitale Resilienz für Unternehmen in der Union dauerhaft zu stärken.

Durch die neue Richtlinie wird die Zahl der betroffenen Unternehmen erheblich ansteigen. Für Deutschland wird geschätzt, dass etwa 30.000 Unternehmen von den neuen Vorschriften betroffen sein könnten. Darüber hinaus werden an die betroffenen Unternehmen höhere Anforderungen gestellt und auch der Sanktionsdruck nimmt zu. So werden für die Managementebene strengere Haftungsregeln gelten, sogar mit dem Privatvermögen.

Baker Tilly unterstützt Sie mit einem erfahrenen und multidisziplinären Expertenteam, den Herausforderungen von NIS&nbsp2 erfolgreich zu begegnen. Gemeinsam mit Ihnen prüfen wir, ob Ihre Organisation von der NIS-2-Richtlinie betroffen ist, und ermitteln die erforderlichen Maßnahmen zur Erfüllung der regulatorischen Anforderungen aus der NIS-2-Richtlinie. Finden Sie mithilfe unseres kurzen Quick-Checks heraus, ob auch Ihr Unternehmen in die NIS-2-Richtlinie fallen könnte.

Jetzt Quick-Check machen

• NIS 2 aktualisiert die erste NIS-Richtlinie aus dem Jahr 2016.
• Die neue EU-Direktive erweitert und verschärft die Anforderungen zur Cybersicherheit für Unternehmen in bestimmten Sektoren.
• Ziel der NIS-2-Richtlinie ist es, eine einheitliche Sicherheitsbasis innerhalb der Europäischen Union zu schaffen und in den EU-Mitgliedsstaaten die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.
• Die Richtlinie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und ist seit dem 16. Januar 2023 in Kraft.
• Bis Oktober 2024 haben die Mitgliedsstaaten der Europäischen Union Zeit, die Direktive in nationales Recht umsetzen.
• Schätzungen gehen von etwa 30.000 betroffenen Unternehmen allein in Deutschland aus.

Services:

• Anwendbarkeit prüfen: Wir evaluieren, ob Ihre Organisation von der NIS-2-Richtlinie betroffen ist.
• Verantwortlichkeiten klären: Wir identifizieren Lücken in Bezug auf die Anforderungen der Richtlinie.  
• Wir definieren die Zuständigkeitsbereiche.
• Wir unterstützen Sie bei der Absicherung der Geschäftskontinuität.
• Meldeverfahren einrichten: Um die ordnungsgemäße Meldung von Vorfällen an die Behörden zu gewährleisten, entwickeln wir passende Verfahren.  
• Ganzheitlicher Ansatz: Wir verfügen über hochqualifizierte Fachleute in den Bereichen Informationssicherheit, Datenschutz, Rechtsberatung und Compliance.
• Internationales Netzwerk: Wir unterstützen sie länderübergreifend bei der Umsetzung der Regulatorik.

Jetzt Kontakt aufnehmen

NIS 2 steht als Abkürzung für „Network and Information Security Directive (EU) 2022/2555“. Sie hebt die europäische Richtlinie (EU) 2016/1148 zur Netzwerk- und Informationssicherheit (NIS) zum 18. Oktober 2024 auf und aktualisiert diese. Die Europäische Richtlinie NIS 2 ist also eine überarbeitete Version der NIS-1-Richtlinie aus dem Jahr 2016. Im Gegensatz zur ersten NIS-Richtlinie erweitert NIS 2 den Anwendungsbereich erheblich und umfasst achtzehn festgelegte Sektoren. Die Richtlinie legt strenge Sicherheitsanforderungen und Meldepflichten für Zwischenfälle fest und fordert die Mitgliedstaaten auf, nationale Strategien und Behörden zur Steigerung der Cybersicherheit und digitalen Resilienz zu etablieren.

Die EU-Richtlinie NIS wurde im Jahr 2016 als Reaktion auf die erhöhte Bedrohung von kritischen Infrastrukturen eingeführt, um digitale Angriffe mit hohem Schadenspotential auf Unternehmen und Behörden in der Europäischen Union zu verhindern. Die Corona-Pandemie und die massive militärische Bedrohungslage in Europa haben die Bedeutung kritischer Infrastrukturen und die Notwendigkeit standardisierter Cybersicherheitsmaßnahmen verdeutlicht. Ziel der NIS-2-Richtlinie ist es, das Sicherheitsniveau in den Mitgliedstaaten zu harmonisieren und die digitale Resilienz in der EU insgesamt nachhaltig zu stärken.

Die NIS-2-Richtlinie stellt konkrete Anforderungen an mittlere und große Unternehmen und Organisationen in kritischen und hochkritischen Sektoren. So könnten im Rahmen von NIS 2 auch Online-Marktplätze oder Lieferketten – angefangen bei IT-Dienstleistern bis hin zu Herstellern von Windturbinen – von den Anforderungen erfasst werden. Dadurch wird der Anwendungsbereich in Deutschland stark ausgeweitet. Schätzungen gehen von etwa 30.000 betroffenen Unternehmen allein in Deutschland aus.

Folgende Kriterien müssen zutreffen:

• Unternehmensgröße: Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Mio. Euro Jahresumsatz
• Sektorzugehörigkeit: Unternehmen in einem der nachfolgenden achtzehn Sektoren
  • Abfallbewirtschaftung
  • Abwässer
  • Digitale Dienste und Marktplätze
  • Bankwesen
  • Digitale Infrastruktur
  • Energie
  • Finanzmarktinfrastruktur
  • Forschung
  • Gesundheitswesen
  • IKT-Dienstleistungsmanagement (B2B)
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Post- und Kurierdienste
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Verkehr und Transport
  • Trink- und Abwasser
  • Öffentliche Verwaltungen
  • Weltraum

Die NIS-2-Richtlinie unterscheidet zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“. Der Hauptunterschied liegt darin, dass „wichtige Einrichtungen“ geringeren Geldstrafen unterliegen und reaktiv von den Behörden überwacht werden, während „besonders wichtige Einrichtungen“ einer proaktiven Aufsicht unterstehen.

Für besonders wichtige Einrichtungen können Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Bei wichtigen Einrichtungen belaufen sich die Sanktionen auf bis zu sieben Millionen Euro oder 1,4 Prozent des Jahresumsatzes, wobei auch hier der höhere Betrag maßgeblich ist.
Die Managementebene von Unternehmen wird, nach dem bisherigen Entwurf des Bundesinnenministeriums, für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften können. Die Obergrenze für diese Haftung entspricht 2 Prozent des globalen Jahresumsatzes des Unternehmens. 

Am 27. Dezember 2022 wurde die NIS-2-Richtlinie im Amtsblatt der EU veröffentlicht und trat am 16. Januar 2023 in Kraft. In Deutschland wurde im Juli 2023 ein Entwurf (NIS-2-UmsG) des Bundesinnenministeriums zur Umsetzung veröffentlicht. Unternehmen, die in den Anwendungsbereich der NIS-2-Richtlinie fallen, sind ab dem 18. Oktober 2024 verpflichtet, die neuen Regelungen einzuhalten. Eine Übergangsfrist ist nicht vorgesehen.